XSNOWX - 2007-11-22 18:04:00
幽灵般的木马,不存在于在硬盘上的文件,无奈的安全软件,战斗在系统核心打响【求助】
随机文件名的驱动只存在与系统核心内存中,没有启动项,驱动的名称在注册表里也找不到,相关的EXE文件也无法找到路径,似乎也是内存中的幽灵,平时若无其事,只要联网就凶相毕露,杀毒软件根本就是无奈的摆设,冰刃之类在我这菜虫手中也是杀不了耗子的钝刀,AUTORUNS\SREngPS也看不出任何异常。请看我的贴图,如何才能把这种木马拖出系统,请高人指点。[好像是飘雪木马的变种]
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; .NET CLR 2.0.50727)附件:
83389020071123162524.jpg
XSNOWX - 2007-11-22 18:05:00
XSNOWX - 2007-11-22 18:06:00
XSNOWX - 2007-11-22 18:07:00
XSNOWX - 2007-11-22 18:08:00
XSNOWX - 2007-11-22 18:08:00
CAPTjoe - 2007-11-22 18:09:00
待到硬盘等不闪时突然拔掉电源插头。
XSNOWX - 2007-11-22 18:09:00
琼台听雨 - 2007-11-22 18:28:00
值得注意,建议报告给版主,现在隐身木马貌似越来越多了,我提供一个建议,不知道有没有用:
首先记录下木马的驱动文件,和可疑的文件,然后按照6L的方法,断电,重启都可以,然后插入系统盘,用系统盘启动系统,在DOS下面删除文件,推荐用WINPE操作,现在外面的番茄花园版的系统盘都集成了WINPE老毛桃修改版(很贴心的设计)
琼台听雨 - 2007-11-22 18:34:00
关注这个帖子,晚上回来希望看到版主和其他大大的解答
琼台听雨 - 2007-11-22 18:35:00
关注这个帖子,晚上回来希望看到版主和其他大大的解答
tankk - 2007-11-22 19:07:00
顶一下 期待
CAPTjoe - 2007-11-22 21:33:00
趁着猫版在线,把这帖子顶上来。学点东西
XSNOWX - 2007-11-23 16:20:00
希望斑竹赶快看到。
第一张无法放大,再贴一次。
附件:
83389020071123162648.jpg
激流涌进 - 2007-11-23 16:24:00
赶紧做个新闻出来,要不很多人都有问题啊!
XSNOWX - 2007-11-23 16:49:00
琼台听雨 - 2007-11-23 22:45:00
找到了,怎么还是没有人啊?
博导 - 2007-11-23 23:05:00
经历过第一个变种飘雪,的确很有技术含量。
这个变种版本是个较大的改进。
做驱动的人以及属于硬件系统的人,做这玩意是小Case!
琼台听雨 - 2007-11-23 23:48:00
| 引用: |
【博导的贴子】经历过第一个变种飘雪,的确很有技术含量。
这个变种版本是个较大的改进。
做驱动的人以及属于硬件系统的人,做这玩意是小Case!
……………… |
恩,觉得以后驱动型木马会越来越强,在杀毒软件被动的局面下,不知道HIPS能不能针对这些问题做出相应的反应
XSNOWX - 2007-11-24 9:49:00
狙剑的作者就说这个是技术含量一般的东西。
可对于我这个新手来说。。。。。。。。。。。。。。。。。。。。。。。。。。。
CAPTjoe - 2007-11-24 11:09:00
| 引用: |
【XSNOWX的贴子】狙剑的作者就说这个是技术含量一般的东西。
可对于我这个新手来说。。。。。。。。。。。。。。。。。。。。。。。。。。。
……………… |
楼主的系统盘文件格式是fat32还是NTFS格式?
XSNOWX - 2007-11-24 21:53:00
回楼上,是ntfs.
CAPTjoe - 2007-11-24 22:00:00
猜想:会不会是NTFS数据流病毒?它的文件在windows下可是完全隐身的。
还是天月 - 2007-11-24 22:09:00
暂时不说别的了,去扫个2.5版本的SRENG日志来看看进程插入的东西怎样。
XSNOWX - 2007-11-25 10:00:00
回楼上,早都发过了。只发现插入到系统0级。
© 2000 - 2026 Rising Corp. Ltd.